Scenariusze wykryte przez aparat Microsoft Sentinel Fusion

Ten dokument zawiera listę typów wieloetapowych ataków opartych na scenariuszach, pogrupowanych według klasyfikacji zagrożeń, które Microsoft Sentinel wykrywa przy użyciu aparatu korelacji fusion.

Ponieważ funkcja Fusion koreluje wiele sygnałów z różnych produktów w celu wykrywania zaawansowanych ataków wieloetapowych, pomyślne wykrywanie fuzji jest przedstawiane jako zdarzenia łączenia na stronie zdarzeń Microsoft Sentinel, a nie jako alerty, i są przechowywane w tabeli Incydenty w dziennikach, a nie w tabeli SecurityAlerts.

Aby włączyć te scenariusze wykrywania ataków oparte na połączeniu, wszystkie wymienione źródła danych muszą zostać pozyskane do obszaru roboczego usługi Log Analytics. W przypadku scenariuszy z regułami zaplanowanej analizy postępuj zgodnie z instrukcjami w temacie Konfigurowanie reguł zaplanowanej analizy dla wykrywania fuzji.

Uwaga

Niektóre z tych scenariuszy są dostępne w wersji ZAPOZNAWCZEJ. Będą one tak wskazane.

Nadużycie zasobów obliczeniowych

Wiele działań związanych z tworzeniem maszyny wirtualnej w następstwie podejrzanego logowania Microsoft Entra

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, wpływ

MITRE ATT&techniki CK: Prawidłowe konto (T1078), przejęcie zasobów (T1496)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba maszyn wirtualnych została utworzona w jednej sesji po podejrzanym zalogowaniu się do konta Microsoft Entra. Ten typ alertu wskazuje z dużym stopniem pewności, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i użyte do utworzenia nowych maszyn wirtualnych do nieautoryzowanych celów, takich jak uruchamianie operacji wyszukiwania kryptografii. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu dotyczącego wielu działań tworzenia maszyny wirtualnej to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wielu działań związanych z tworzeniem maszyn wirtualnych

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do wielu działań związanych z tworzeniem maszyn wirtualnych

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do wielu działań związanych z tworzeniem maszyn wirtualnych

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do wielu działań związanych z tworzeniem maszyn wirtualnych

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do wielu działań związanych z tworzeniem maszyny wirtualnej

Dostęp poświadczeń

(Nowa klasyfikacja zagrożeń)

Resetowanie wielu haseł przez użytkownika po podejrzanym logowaniu

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, dostęp poświadczeń

MITRE ATT&techniki CK: Prawidłowe konto (T1078), Siłowe (T1110)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że użytkownik resetuje wiele haseł po podejrzanym zalogowaniu się do konta Microsoft Entra. Te dowody wskazują, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do przeprowadzenia wielu resetowania haseł w celu uzyskania dostępu do wielu systemów i zasobów. Manipulowanie kontami (w tym resetowanie hasła) może pomóc osobom niepożądanym w utrzymaniu dostępu do poświadczeń i niektórych poziomów uprawnień w środowisku. Permutacja podejrzanych Microsoft Entra alertów logowania z wieloma alertami resetowania haseł to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do zresetowania wielu haseł

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do zresetowania wielu haseł

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do zresetowania wielu haseł

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do zresetowania wielu haseł

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do zresetowania wielu haseł

Podejrzane logowanie zbiegające się z pomyślnym logowaniem do sieci VPN Palo Alto przez adres IP z wieloma nieudanymi logowaniem Microsoft Entra

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, dostęp poświadczeń

MITRE ATT&techniki CK: Prawidłowe konto (T1078), Siłowe (T1110)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że podejrzane logowanie do konta Microsoft Entra zbiegło się z pomyślnym logowaniem za pośrednictwem sieci VPN Palo Alto z adresu IP, z którego wystąpiło wiele nieudanych logowań Microsoft Entra w podobnym czasie. Chociaż nie są to dowody na atak wieloetapowy, korelacja tych dwóch alertów o niższej wierności skutkuje incydentem o wysokiej wierności sugerującym złośliwy początkowy dostęp do sieci organizacji. Alternatywnie może to oznaczać, że osoba atakująca próbuje użyć technik siłowych w celu uzyskania dostępu do konta Microsoft Entra. Permutacje podejrzanych Microsoft Entra alertów logowania z alertami "Adres IP z wieloma nieudanymi Microsoft Entra logowania pomyślnie logują się do sieci VPN Palo Alto":

  • Niemożliwa podróż do nietypowej lokalizacji zbiega się z adresem IP z wieloma nieudanymi Microsoft Entra logowania pomyślnie loguje się do sieci VPN Palo Alto

  • Zdarzenie logowania z nieznanej lokalizacji pokrywające się z adresem IP z wieloma nieudanymi Microsoft Entra logowania pomyślnie logują się do sieci VPN Palo Alto

  • Zdarzenie logowania z zainfekowanego urządzenia zbiegającego się z adresem IP z wieloma nieudanymi Microsoft Entra logowania pomyślnie loguje się do sieci VPN Palo Alto

  • Zdarzenie logowania z anonimowego adresu IP zbiegającego się z adresem IP z wieloma nieudanymi Microsoft Entra logowania pomyślnie loguje się do sieci VPN Palo Alto

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń zbiegających się z adresem IP z wieloma nieudanymi Microsoft Entra logowania pomyślnie loguje się do sieci VPN Palo Alto

Zbieranie poświadczeń

(Nowa klasyfikacja zagrożeń)

Wykonanie złośliwego narzędzia do kradzieży poświadczeń po podejrzanym zalogowaniu

Taktyka MITRE ATT&CK: Dostęp początkowy, dostęp poświadczeń

MITRE ATT&techniki CK: Prawidłowe konto (T1078), dumping poświadczeń systemu operacyjnego (T1003)

Źródła łącznika danych: Microsoft Entra ID Protection, Ochrona punktu końcowego w usłudze Microsoft Defender

Opis: Zdarzenia łączenia tego typu wskazują, że znane narzędzie do kradzieży poświadczeń zostało wykonane po podejrzanej Microsoft Entra logowania. Te dowody wskazują z dużą pewnością, że konto użytkownika zanotowane w opisie alertu zostało naruszone i mogło pomyślnie użyć narzędzia takiego jak Mimikatz , aby zebrać poświadczenia, takie jak klucze, hasła zwykłego tekstu i/lub skróty haseł z systemu. Zebrane poświadczenia mogą umożliwić osobie atakującej dostęp do poufnych danych, eskalować uprawnienia i/lub przenieść się później przez sieć. Permutacje podejrzanych Microsoft Entra alertów logowania za pomocą alertu złośliwego narzędzia do kradzieży poświadczeń to:

  • Niemożliwe podróże do nietypowych lokalizacji prowadzące do złośliwego wykonania narzędzia do kradzieży poświadczeń

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do wykonania złośliwego narzędzia do kradzieży poświadczeń

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do wykonania złośliwego narzędzia do kradzieży poświadczeń

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do wykonania złośliwego narzędzia do kradzieży poświadczeń

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do wykonania złośliwego narzędzia do kradzieży poświadczeń

Podejrzenie kradzieży poświadczeń po podejrzanym zalogowaniu

Taktyka MITRE ATT&CK: Dostęp początkowy, dostęp poświadczeń

MITRE ATT&techniki CK: Prawidłowe konto (T1078), poświadczenia z magazynów haseł (T1555), dumping poświadczeń systemu operacyjnego (T1003)

Źródła łącznika danych: Microsoft Entra ID Protection, Ochrona punktu końcowego w usłudze Microsoft Defender

Opis: Zdarzenia łączenia tego typu wskazują, że działanie związane z wzorcami kradzieży poświadczeń miało miejsce po podejrzanym Microsoft Entra zalogowaniu. Te dowody wskazują z dużą pewnością, że konto użytkownika zanotowane w opisie alertu zostało naruszone i użyte do kradzieży poświadczeń, takich jak klucze, hasła zwykłego tekstu, skróty haseł itd. Skradzione poświadczenia mogą umożliwić osobie atakującej dostęp do poufnych danych, eskalować uprawnienia i/lub przenieść się później przez sieć. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu działania kradzieży poświadczeń to:

  • Niemożliwe podróże do nietypowych lokalizacji prowadzące do podejrzenia kradzieży poświadczeń

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzenia kradzieży poświadczeń

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzenia kradzieży poświadczeń

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do podejrzenia kradzieży poświadczeń

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do podejrzenia kradzieży poświadczeń

Wyszukiwanie kryptograficzne

(Nowa klasyfikacja zagrożeń)

Działanie wyszukiwania kryptografii po podejrzanym logowanie

Taktyka MITRE ATT&CK: Dostęp początkowy, dostęp poświadczeń

MITRE ATT&techniki CK: Prawidłowe konto (T1078), przejęcie zasobów (T1496)

Źródła łącznika danych: Microsoft Entra ID Protection, Microsoft Defender for Cloud

Opis: Zdarzenia łączenia tego typu wskazują działanie wyszukiwania kryptografii skojarzone z podejrzanym logowaniem do konta Microsoft Entra. Te dowody wskazują z dużą pewnością, że konto użytkownika zanotowane w opisie alertu zostało naruszone i zostało użyte do przejęcia zasobów w środowisku w celu wydobywania krypto-waluty. Może to spowodować zablokowanie zasobów mocy obliczeniowej i/lub spowodować znacznie wyższe niż oczekiwano rachunki za użycie chmury. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu działania wyszukiwania kryptografii to:

  • Niemożliwe podróże do nietypowych lokalizacji prowadzących do działania wyszukiwania kryptograficznego

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do działania wyszukiwania kryptografii

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do działania wyszukiwania kryptografii

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do działania wyszukiwania kryptografii

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do działania wyszukiwania kryptografii

Niszczenie danych

Masowe usuwanie pliku po podejrzanym Microsoft Entra zalogowaniu

Taktyka MITRE ATT&CK: Dostęp początkowy, wpływ

MITRE ATT&techniki CK: Prawidłowe konto (T1078), niszczenie danych (T1485)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba unikatowych plików została usunięta po podejrzanym zalogowaniu się do konta Microsoft Entra. Te dowody wskazują, że konto zanotowane w opisie incydentu Fusion mogło zostać naruszone i zostało użyte do zniszczenia danych do złośliwych celów. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu masowego usuwania plików to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do masowego usunięcia pliku

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do masowego usunięcia pliku

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do masowego usunięcia pliku

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do masowego usunięcia pliku

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do masowego usunięcia pliku

Masowe usuwanie pliku po pomyślnym Microsoft Entra zalogowania się z adresu IP zablokowane przez urządzenie zapory Cisco

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, wpływ

MITRE ATT&techniki CK: Prawidłowe konto (T1078), niszczenie danych (T1485)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender for Cloud Apps

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba unikatowych plików została usunięta po pomyślnym zalogowaniu Microsoft Entra pomimo zablokowania adresu IP użytkownika przez urządzenie zapory Cisco. Te dowody wskazują, że konto zanotowane w opisie incydentu Fusion zostało naruszone i zostało użyte do zniszczenia danych do złośliwych celów. Ponieważ adres IP został zablokowany przez zaporę, to samo logowanie ip w celu Microsoft Entra ID jest potencjalnie podejrzane i może wskazywać na naruszenie poświadczeń dla konta użytkownika.

Masowe usuwanie pliku po pomyślnym zalogowaniu się do sieci VPN Palo Alto przez adres IP z wieloma nieudanymi logowaniami Microsoft Entra

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, dostęp poświadczeń, wpływ

MITRE ATT&techniki CK: Prawidłowe konto (T1078), Siła brutalna (T1110), Zniszczenie danych (T1485)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender for Cloud Apps

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba unikatowych plików została usunięta przez użytkownika, który pomyślnie zalogował się za pośrednictwem sieci VPN Palo Alto z adresu IP, z którego wystąpiło wiele nieudanych Microsoft Entra logowania w podobnym czasie. Te dowody wskazują, że konto użytkownika zanotowane w zdarzeniu Fusion mogło zostać naruszone przy użyciu technik siłowych i zostało użyte do zniszczenia danych do złośliwych celów.

Podejrzane działanie usuwania wiadomości e-mail po podejrzanym logowaniu Microsoft Entra

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, wpływ

MITRE ATT&techniki CK: Prawidłowe konto (T1078), niszczenie danych (T1485)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba wiadomości e-mail została usunięta w jednej sesji po podejrzanym zalogowaniu się do konta Microsoft Entra. Te dowody wskazują, że konto zanotowane w opisie zdarzenia Fusion mogło zostać naruszone i zostało użyte do zniszczenia danych do złośliwych celów, takich jak uszkodzenie organizacji lub ukrycie działań związanych ze spamem. Permutacja podejrzanych Microsoft Entra alertów logowania z alertem o podejrzanym działaniu usuwania wiadomości e-mail to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanego działania usuwania wiadomości e-mail

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzanego działania usuwania wiadomości e-mail

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanego działania usuwania wiadomości e-mail

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do podejrzanego działania usuwania wiadomości e-mail

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do podejrzanego działania usuwania wiadomości e-mail

Eksfiltracja danych

Działania przekazywania wiadomości e-mail po nowym działaniu konta administratora, które nie było ostatnio widoczne

Ten scenariusz należy do dwóch klasyfikacji zagrożeń na tej liście: eksfiltracji danych i złośliwych działań administracyjnych. Ze względu na przejrzystość jest ona wyświetlana w obu sekcjach.

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, kolekcja, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), kolekcja Email (T1114), eksfiltracja za pośrednictwem usługi sieci Web (T1567)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender for Cloud Apps

Opis: Zdarzenia łączenia tego typu wskazują, że utworzono nowe konto administratora programu Exchange lub istniejące konto administratora programu Exchange po raz pierwszy w ciągu ostatnich dwóch tygodni podjęło pewne działania administracyjne, a następnie konto wykonało pewne akcje przekazywania poczty, które są nietypowe dla konta administratora. Te dowody wskazują, że konto użytkownika zanotowane w opisie zdarzenia fusion zostało naruszone lub zmanipulowane oraz że zostało użyte do eksfiltrowania danych z sieci organizacji.

Pobieranie plików zbiorczych po podejrzanym logowanie Microsoft Entra

Taktyka MITRE ATT&CK: Dostęp początkowy, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba plików została pobrana przez użytkownika po podejrzanym zalogowaniu się do konta Microsoft Entra. To wskazanie zapewnia dużą pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do eksfiltrowania danych z sieci organizacji. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu masowego pobierania plików to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do masowego pobierania plików

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do masowego pobierania plików

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do masowego pobierania plików

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do masowego pobierania plików

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzące do masowego pobierania plików

Pobieranie plików zbiorczych po pomyślnym Microsoft Entra zalogowaniu się z adresu IP zablokowane przez urządzenie zapory Cisco

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), eksfiltracja za pośrednictwem usługi sieci Web (T1567)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender for Cloud Apps

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba plików została pobrana przez użytkownika po pomyślnym Microsoft Entra zalogowaniu się, mimo że adres IP użytkownika został zablokowany przez urządzenie zapory Cisco. Może to być próba eksfiltrowania danych z sieci organizacji przez osobę atakującą po naruszeniu konta użytkownika. Ponieważ adres IP został zablokowany przez zaporę, to samo logowanie ip w celu Microsoft Entra ID jest potencjalnie podejrzane i może wskazywać na naruszenie poświadczeń dla konta użytkownika.

Pobieranie plików zbiorczych zbiega się z operacją pliku programu SharePoint z wcześniej niewidocznego adresu IP

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Eksfiltracja

MITRE ATT&techniki CK: Eksfiltracja za pośrednictwem usługi sieci Web (T1567), limity rozmiaru transferu danych (T1030)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender for Cloud Apps

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba plików została pobrana przez użytkownika połączonego z wcześniej niewidocznego adresu IP. Chociaż nie ma dowodów na atak wieloetapowy, korelacja tych dwóch alertów o niższej wierności skutkuje incydentem o wysokiej wierności sugerującym próbę eksfiltrowania danych z sieci organizacji z potencjalnie zagrożonego konta użytkownika. W stabilnych środowiskach takie połączenia przez wcześniej niewidoczne adresy IP mogą być nieautoryzowane, zwłaszcza jeśli są skojarzone z skokami liczby, które mogą być skojarzone z eksfiltracją dokumentów na dużą skalę.

Masowe udostępnianie plików po podejrzanym logowanie Microsoft Entra

Taktyka MITRE ATT&CK: Dostęp początkowy, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), eksfiltracja za pośrednictwem usługi sieci Web (T1567)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że wiele plików powyżej określonego progu zostało udostępnionych innym osobom po podejrzanym zalogowaniu się do konta Microsoft Entra. To wskazanie zapewnia dużą pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i użyte do eksfiltrowania danych z sieci organizacji przez udostępnianie plików, takich jak dokumenty, arkusze kalkulacyjne itp., nieautoryzowanym użytkownikom w złośliwych celach. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu masowego udostępniania plików to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do masowego udostępniania plików

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do masowego udostępniania plików

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do masowego udostępniania plików

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do masowego udostępniania plików

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do masowego udostępniania plików

Wiele działań związanych z udostępnianiem raportów usługi Power BI po podejrzanych Microsoft Entra zalogowaniu

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), eksfiltracja za pośrednictwem usługi sieci Web (T1567)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba raportów usługi Power BI została udostępniona w jednej sesji po podejrzanym zalogowaniu się do konta Microsoft Entra. To wskazanie zapewnia dużą pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do eksfiltrowania danych z sieci organizacji przez udostępnianie raportów usługi Power BI nieautoryzowanym użytkownikom w złośliwych celach. Permutacja podejrzanych Microsoft Entra alertów logowania z wieloma działaniami udostępniania raportów usługi Power BI to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wielu działań udostępniania raportów usługi Power BI

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do wielu działań udostępniania raportów usługi Power BI

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do wielu działań udostępniania raportów usługi Power BI

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do wielu działań udostępniania raportów usługi Power BI

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzące do wielu działań udostępniania raportów usługi Power BI

Office 365 eksfiltracji skrzynki pocztowej po podejrzanym Microsoft Entra zalogowaniu

Taktyka MITRE ATT&CK: Dostęp początkowy, eksfiltracja, kolekcja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), zbieranie wiadomości e-mail (T1114), automatyczna eksfiltracja (T1020)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że w skrzynce odbiorczej użytkownika ustawiono podejrzaną regułę przekazywania skrzynki odbiorczej po podejrzanym zalogowaniu się do konta Microsoft Entra. To wskazanie zapewnia dużą pewność, że konto użytkownika (zanotowane w opisie zdarzenia fusion) zostało naruszone i że zostało użyte do eksfiltrowania danych z sieci organizacji poprzez włączenie reguły przekazywania skrzynek pocztowych bez wiedzy prawdziwego użytkownika. Permutacja podejrzanych Microsoft Entra alertów logowania przy użyciu alertu eksfiltracji skrzynki pocztowej Office 365 to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do eksfiltracji skrzynki pocztowej Office 365

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do eksfiltracji skrzynki pocztowej Office 365

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do eksfiltracji skrzynki pocztowej Office 365

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do eksfiltracji skrzynki pocztowej Office 365

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do eksfiltracji skrzynki pocztowej Office 365

Operacja pliku programu SharePoint z wcześniej niewidocznego adresu IP po wykryciu złośliwego oprogramowania

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Eksfiltracja, uchylanie się od obrony

MITRE ATT&techniki CK: Limity rozmiaru transferu danych (T1030)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender for Cloud Apps

Opis: Zdarzenia łączenia tego typu wskazują, że osoba atakująca próbowała eksfiltrować duże ilości danych, pobierając lub udostępniając je za pośrednictwem programu SharePoint za pomocą złośliwego oprogramowania. W stabilnych środowiskach takie połączenia przez wcześniej niewidoczne adresy IP mogą być nieautoryzowane, zwłaszcza jeśli są skojarzone z skokami liczby, które mogą być skojarzone z eksfiltracją dokumentów na dużą skalę.

Podejrzane reguły manipulowania skrzynką odbiorczą ustawione po podejrzanych Microsoft Entra logowania

Ten scenariusz należy do dwóch klasyfikacji zagrożeń na tej liście: eksfiltracji danych i przenoszenia bocznego. Ze względu na przejrzystość jest ona wyświetlana w obu sekcjach.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, ruch boczny, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), wewnętrzne wyłudzanie informacji o włóczni (T1534), automatyczne eksfiltracja (T1020)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że w skrzynce odbiorczej użytkownika ustawiono nietypowe reguły skrzynki odbiorczej po podejrzanym zalogowaniu się do konta Microsoft Entra. Te dowody wskazują na to, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do manipulowania regułami skrzynki odbiorczej poczty e-mail użytkownika do złośliwych celów, prawdopodobnie w celu eksfiltrowania danych z sieci organizacji. Alternatywnie osoba atakująca może próbować wygenerować wiadomości e-mail wyłudzające informacje z organizacji (pomijając mechanizmy wykrywania wyłudzania informacji kierowane do poczty e-mail ze źródeł zewnętrznych) w celu późniejszego przenoszenia przez uzyskanie dostępu do dodatkowych kont użytkowników i/lub uprzywilejowanych. Permutacja podejrzanych Microsoft Entra alertów logowania przy użyciu alertu reguł podejrzanej manipulacji skrzynką odbiorczą to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

Podejrzane udostępnianie raportów usługi Power BI po podejrzanej Microsoft Entra zalogowaniu

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), eksfiltracja za pośrednictwem usługi sieci Web (T1567)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że podejrzane działanie udostępniania raportów usługi Power BI miało miejsce po podejrzanym zalogowaniu się do konta Microsoft Entra. Działanie udostępniania zostało zidentyfikowane jako podejrzane, ponieważ raport usługi Power BI zawierał poufne informacje zidentyfikowane przy użyciu przetwarzania języka naturalnego, a także dlatego, że zostało udostępnione zewnętrznemu adresowi e-mail, opublikowane w Internecie lub dostarczone jako migawka zewnętrznie subskrybowanego adresu e-mail. Ten alert z dużą pewnością wskazuje, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do eksfiltrowania poufnych danych z organizacji przez udostępnianie raportów usługi Power BI nieautoryzowanym użytkownikom w złośliwych celach. Permutacja podejrzanych Microsoft Entra alertów logowania przy użyciu podejrzanego udostępniania raportów usługi Power BI to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanego udostępniania raportów usługi Power BI

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzanego udostępniania raportów usługi Power BI

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanego udostępniania raportów usługi Power BI

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do podejrzanego udostępniania raportów usługi Power BI

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do podejrzanego udostępniania raportów usługi Power BI

Odmowa usługi

Wiele działań usuwania maszyny wirtualnej po podejrzanych Microsoft Entra logowania

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, wpływ

MITRE ATT&techniki CK: Prawidłowe konto (T1078), odmowa usługi punktu końcowego (T1499)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba maszyn wirtualnych została usunięta w jednej sesji po podejrzanym zalogowaniu się do konta Microsoft Entra. To wskazanie zapewnia dużą pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do próby zakłócenia lub zniszczenia środowiska chmury organizacji. Permutacja podejrzanych Microsoft Entra alertów logowania z alertem o wielu działaniach usuwania maszyny wirtualnej to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wielu działań usuwania maszyny wirtualnej

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do wielu działań usuwania maszyny wirtualnej

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do wielu działań usuwania maszyny wirtualnej

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do wielu działań usuwania maszyny wirtualnej

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do wielu działań usuwania maszyny wirtualnej

Ruch boczny

Office 365 personifikacji po podejrzanym logowanie Microsoft Entra

Taktyka MITRE ATT&CK: Dostęp początkowy, ruch boczny

MITRE ATT&techniki CK: Prawidłowe konto (T1078), wewnętrzne wyłudzanie informacji (T1534)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że wystąpiła nietypowa liczba akcji personifikacji po podejrzanym zalogowaniu się z konta Microsoft Entra. W niektórych programach istnieją opcje umożliwiające użytkownikom personifikowanie innych użytkowników. Na przykład usługi poczty e-mail umożliwiają użytkownikom autoryzowanie innych użytkowników do wysyłania wiadomości e-mail w ich imieniu. Ten alert wskazuje z większą pewnością, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do prowadzenia działań personifikacyjnych w złośliwych celach, takich jak wysyłanie wiadomości e-mail wyłudzających informacje na potrzeby dystrybucji złośliwego oprogramowania lub przenoszenia bocznego. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu personifikacji Office 365 to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do Office 365 personifikacji

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do Office 365 personifikacji

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do Office 365 personifikacji

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do Office 365 personifikacji

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do personifikacji Office 365

Podejrzane reguły manipulowania skrzynką odbiorczą ustawione po podejrzanych Microsoft Entra logowania

Ten scenariusz należy do dwóch klasyfikacji zagrożeń na tej liście: przenoszenia bocznego i eksfiltracji danych. Ze względu na przejrzystość jest ona wyświetlana w obu sekcjach.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, ruch boczny, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), wewnętrzne wyłudzanie informacji o włóczni (T1534), automatyczne eksfiltracja (T1020)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że w skrzynce odbiorczej użytkownika ustawiono nietypowe reguły skrzynki odbiorczej po podejrzanym zalogowaniu się do konta Microsoft Entra. Te dowody wskazują na to, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do manipulowania regułami skrzynki odbiorczej poczty e-mail użytkownika do złośliwych celów, prawdopodobnie w celu eksfiltrowania danych z sieci organizacji. Alternatywnie osoba atakująca może próbować wygenerować wiadomości e-mail wyłudzające informacje z organizacji (pomijając mechanizmy wykrywania wyłudzania informacji kierowane do poczty e-mail ze źródeł zewnętrznych) w celu późniejszego przenoszenia przez uzyskanie dostępu do dodatkowych kont użytkowników i/lub uprzywilejowanych. Permutacja podejrzanych Microsoft Entra alertów logowania przy użyciu alertu reguł podejrzanej manipulacji skrzynką odbiorczą to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

Złośliwe działanie administracyjne

Podejrzane działanie administracyjne aplikacji w chmurze po podejrzanym logowanie Microsoft Entra

Taktyka MITRE ATT&CK: Dostęp początkowy, trwałość, uchylanie się od obrony, przenoszenie boczne, zbieranie, eksfiltracja i wpływ

MITRE ATT&techniki CK: N/A

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba działań administracyjnych została wykonana w jednej sesji po podejrzanej Microsoft Entra logowania z tego samego konta. Dowody te wskazują, że konto zanotowane w opisie incydentu Fusion mogło zostać naruszone i zostało użyte do wykonania dowolnej liczby nieautoryzowanych działań administracyjnych ze złośliwym zamiarem. Oznacza to również, że konto z uprawnieniami administracyjnymi mogło zostać naruszone. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu o podejrzanych działaniach administracyjnych aplikacji w chmurze to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanego działania administracyjnego aplikacji w chmurze

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzanego działania administracyjnego aplikacji w chmurze

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanego działania administracyjnego aplikacji w chmurze

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do podejrzanego działania administracyjnego aplikacji w chmurze

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzące do podejrzanego działania administracyjnego aplikacji w chmurze

Działania przekazywania wiadomości e-mail po nowym działaniu konta administratora, które nie było ostatnio widoczne

Ten scenariusz należy do dwóch klasyfikacji zagrożeń na tej liście: złośliwego działania administracyjnego i eksfiltracji danych. Ze względu na przejrzystość jest ona wyświetlana w obu sekcjach.

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, kolekcja, eksfiltracja

MITRE ATT&techniki CK: Prawidłowe konto (T1078), kolekcja Email (T1114), eksfiltracja za pośrednictwem usługi sieci Web (T1567)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender for Cloud Apps

Opis: Zdarzenia łączenia tego typu wskazują, że utworzono nowe konto administratora programu Exchange lub istniejące konto administratora programu Exchange po raz pierwszy w ciągu ostatnich dwóch tygodni podjęło pewne działania administracyjne, a następnie konto wykonało pewne akcje przekazywania poczty, które są nietypowe dla konta administratora. Te dowody wskazują, że konto użytkownika zanotowane w opisie zdarzenia fusion zostało naruszone lub zmanipulowane oraz że zostało użyte do eksfiltrowania danych z sieci organizacji.

Złośliwe wykonywanie z uzasadnionym procesem

Program PowerShell wykonał podejrzane połączenie sieciowe, a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Wykonanie

MITRE ATT&techniki CK: Interpreter poleceń i skryptów (T1059)

Źródła łącznika danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej Microsoft Defender Advanced Threat Protection lub MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Zdarzenia łączenia tego typu wskazują, że żądanie połączenia wychodzącego zostało wykonane za pomocą polecenia programu PowerShell, a następnie nietypowe działanie ruchu przychodzącego zostało wykryte przez zaporę Palo Alto Networks Firewall. Te dowody wskazują, że osoba atakująca prawdopodobnie uzyskała dostęp do twojej sieci i próbuje wykonać złośliwe akcje. Próby nawiązania połączenia przez program PowerShell, które są zgodne z tym wzorcem, mogą wskazywać na działanie polecenia i sterowania złośliwym oprogramowaniem, żądania pobrania dodatkowego złośliwego oprogramowania lub osobę atakującą ustanawiającą zdalny dostęp interakcyjny. Podobnie jak w przypadku wszystkich ataków "życia poza ziemią", ta działalność może być uzasadnionym użyciem programu PowerShell. Jednak wykonanie polecenia programu PowerShell, po którym następuje podejrzane działanie zapory przychodzącej, zwiększa pewność, że program PowerShell jest używany w złośliwy sposób i powinien zostać dokładniej zbadany. W dziennikach Palo Alto Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uznawany za podejrzany, gdy dozwolone są zagrożenia (podejrzane dane, pliki, powodzie, pakiety, skany, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy pożarów, pożary). Zapoznaj się również z dziennikiem zagrożeń Palo Alto odpowiadającym typowi zagrożenia/zawartości wymienionym w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Podejrzane zdalne wykonywanie usługi WMI, a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Wykonywanie, odnajdywanie

MITRE ATT&techniki CK: Instrumentacja zarządzania Windows (T1047)

Źródła łącznika danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Zdarzenia łączenia tego typu wskazują, że polecenia interfejsu zarządzania windows (WMI) zostały zdalnie wykonane w systemie, a następnie podejrzane działanie przychodzące zostało wykryte przez zaporę palo Alto Networks. Te dowody wskazują, że osoba atakująca mogła uzyskać dostęp do twojej sieci i próbuje przenieść się później, eskalować uprawnienia i/lub wykonać złośliwe ładunki. Podobnie jak w przypadku wszystkich ataków "żyjących poza ziemią", działalność ta może być uzasadnionym wykorzystaniem WMI. Jednak zdalne wykonywanie polecenia usługi WMI, po którym następuje podejrzane działanie zapory ruchu przychodzącego, zwiększa pewność, że usługa WMI jest używana w złośliwy sposób i należy je dokładniej zbadać. W dziennikach Palo Alto Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uznawany za podejrzany, gdy dozwolone są zagrożenia (podejrzane dane, pliki, powodzie, pakiety, skany, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy pożarów, pożary). Zapoznaj się również z dziennikiem zagrożeń Palo Alto odpowiadającym typowi zagrożenia/zawartości wymienionym w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Podejrzany wiersz polecenia programu PowerShell po podejrzanym logowanie

Taktyka MITRE ATT&CK: Dostęp początkowy, wykonanie

MITRE ATT&techniki CK: Prawidłowe konto (T1078), interpreter poleceń i skryptów (T1059)

Źródła łącznika danych: Microsoft Entra ID Protection, Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP)

Opis: Zdarzenia łączenia tego typu wskazują, że użytkownik wykonał potencjalnie złośliwe polecenia programu PowerShell po podejrzanym zalogowaniu się do konta Microsoft Entra. Te dowody wskazują z dużą pewnością, że konto zanotowane w opisie alertu zostało naruszone i podjęto dalsze złośliwe działania. Osoby atakujące często używają programu PowerShell do wykonywania złośliwych ładunków w pamięci bez pozostawiania artefaktów na dysku, aby uniknąć wykrycia przez mechanizmy zabezpieczeń oparte na dysku, takie jak skanery antywirusowe. Permutacja podejrzanych Microsoft Entra alertów logowania przy użyciu podejrzanego alertu polecenia programu PowerShell to:

  • Niemożliwa podróż do nietypowych lokalizacji prowadzących do podejrzanego wiersza polecenia programu PowerShell

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzanego wiersza polecenia programu PowerShell

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanego wiersza polecenia programu PowerShell

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do podejrzanego wiersza polecenia programu PowerShell

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do podejrzanego wiersza polecenia programu PowerShell

Złośliwe oprogramowanie C2 lub pobieranie

Wzorzec sygnału nawigacyjnego wykryty przez firmę Fortinet po wielu nieudanych logowaniach użytkowników do usługi

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, polecenie i kontrola

MITRE ATT&techniki CK: Prawidłowe konto (T1078), port niestandardowy (T1571), T1065 (wycofane)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender for Cloud Apps

Opis: Zdarzenia łączenia tego typu wskazują wzorce komunikacji, od wewnętrznego adresu IP do zewnętrznego, które są spójne z sygnałem nawigacyjnym, po wielu nieudanych logowaniach użytkowników do usługi z powiązanej jednostki wewnętrznej. Kombinacja tych dwóch zdarzeń może wskazywać na zakażenie złośliwym oprogramowaniem lub naruszonym hostem przeprowadzającym eksfiltrację danych.

Wzorzec sygnału nawigacyjnego wykryty przez firmę Fortinet po podejrzanym Microsoft Entra zalogowaniu

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, polecenie i kontrola

MITRE ATT&techniki CK: Prawidłowe konto (T1078), port niestandardowy (T1571), T1065 (wycofane)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują wzorce komunikacji, od wewnętrznego adresu IP do zewnętrznego, które są spójne z sygnałem nawigacyjnym, po zalogowaniu użytkownika o podejrzanym charakterze w celu Microsoft Entra ID. Kombinacja tych dwóch zdarzeń może wskazywać na zakażenie złośliwym oprogramowaniem lub naruszonym hostem przeprowadzającym eksfiltrację danych. Permutacje wzorca sygnału nawigacyjnego wykryte przez alerty Fortinet z podejrzanymi Microsoft Entra alertami logowania to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wzorca sygnału nawigacyjnego wykrytego przez fortinet

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do wykrycia wzorca sygnału nawigacyjnego przez firmę Fortinet

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do wzorca sygnału nawigacyjnego wykrytego przez aplikację Fortinet

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do wzorca sygnału nawigacyjnego wykrytego przez aplikację Fortinet

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do wykrycia wzorca sygnału nawigacyjnego przez firmę Fortinet

Żądanie sieciowe do usługi anonimizacji TOR, a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Polecenie i kontrolka

MITRE ATT&techniki CK: Szyfrowany kanał (T1573), serwer proxy (T1090)

Źródła łącznika danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Zdarzenia łączenia tego typu wskazują, że żądanie połączenia wychodzącego zostało wysłane do usługi anonimizacji TOR, a następnie nietypowe działanie ruchu przychodzącego zostało wykryte przez zaporę Palo Alto Networks Firewall. Te dowody wskazują, że osoba atakująca prawdopodobnie uzyskała dostęp do Twojej sieci i próbuje ukryć swoje działania i zamiary. Połączenia z siecią TOR zgodnie z tym wzorcem mogą wskazywać na działanie polecenia i sterowania złośliwym oprogramowaniem, żądania pobrania dodatkowego złośliwego oprogramowania lub osobę atakującą ustanawiającą zdalny dostęp interakcyjny. W dziennikach Palo Alto Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uznawany za podejrzany, gdy dozwolone są zagrożenia (podejrzane dane, pliki, powodzie, pakiety, skany, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy pożarów, pożary). Zapoznaj się również z dziennikiem zagrożeń Palo Alto odpowiadającym typowi zagrożenia/zawartości wymienionym w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Połączenie wychodzące z adresem IP z historią nieautoryzowanych prób dostępu, po których następuje nietypowy ruch oflagowany przez zaporę palo Alto Networks

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Polecenie i kontrolka

MITRE ATT&techniki CK: Nie dotyczy

Źródła łącznika danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Zdarzenia łączenia tego typu wskazują, że nawiązano połączenie wychodzące z adresem IP z historią nieautoryzowanych prób dostępu, a następnie wykryto nietypowe działanie przez zaporę sieci Palo Alto. Te dowody wskazują, że osoba atakująca prawdopodobnie uzyskała dostęp do Twojej sieci. Próby nawiązania połączenia zgodnie z tym wzorcem mogą wskazywać na działanie polecenia i sterowania złośliwym oprogramowaniem, żądania pobrania dodatkowego złośliwego oprogramowania lub osobę atakującą ustanawiającą zdalny dostęp interakcyjny. W dziennikach Palo Alto Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uznawany za podejrzany, gdy dozwolone są zagrożenia (podejrzane dane, pliki, powodzie, pakiety, skany, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy pożarów, pożary). Zapoznaj się również z dziennikiem zagrożeń Palo Alto odpowiadającym typowi zagrożenia/zawartości wymienionym w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Trwałości

(Nowa klasyfikacja zagrożeń)

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Trwałość, dostęp początkowy

MITRE ATT&techniki CK: Tworzenie konta (T1136), prawidłowe konto (T1078)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że użytkownik, który nigdy lub rzadko tego nie robił, udzielił aplikacji zgody, po powiązanym podejrzanym zalogowaniu się do konta Microsoft Entra. Te dowody wskazują, że konto zanotowane w opisie zdarzenia fusion mogło zostać naruszone i użyte do uzyskania dostępu do aplikacji lub manipulowania nią w złośliwych celach. Zgoda na aplikację, Dodawanie jednostki usługi i Dodawanie OAuth2PermissionGrant zazwyczaj powinny być rzadkimi zdarzeniami. Osoby atakujące mogą użyć tego typu zmiany konfiguracji, aby ustanowić lub utrzymać przyczółek w systemach. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu rzadkiego alertu zgody aplikacji to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do rzadkiej zgody aplikacji

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do rzadkiej zgody aplikacji

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do rzadkiej zgody aplikacji

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do rzadkiej zgody aplikacji

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami, co prowadzi do rzadkiej zgody aplikacji

Oprogramowanie wymuszające okup

Wykonywanie oprogramowania wymuszającego okup po podejrzanym logowanie Microsoft Entra

Taktyka MITRE ATT&CK: Dostęp początkowy, wpływ

MITRE ATT&techniki CK: Prawidłowe konto (T1078), zaszyfrowane dane dla wpływu (T1486)

Źródła łącznika danych: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że wykryto nietypowe zachowanie użytkownika wskazujące na atak ransomware po podejrzanym zalogowaniu się do konta Microsoft Entra. To wskazanie zapewnia dużą pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do szyfrowania danych w celu wymuszenia właściciela danych lub odmowy właścicielowi danych dostępu do ich danych. Permutacje podejrzanych Microsoft Entra alertów logowania przy użyciu alertu wykonywania oprogramowania wymuszającego okup są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do oprogramowania wymuszającego okup w aplikacji w chmurze

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do oprogramowania wymuszającego okup w aplikacji w chmurze

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do oprogramowania wymuszającego okup w aplikacji w chmurze

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do oprogramowania wymuszającego okup w aplikacji w chmurze

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzące do oprogramowania wymuszającego okup w aplikacji w chmurze

Eksploatacja zdalna

Podejrzenie użycia struktury ataków, a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, wykonanie, ruch boczny, eskalacja uprawnień

MITRE ATT&techniki CK: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)

Źródła łącznika danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Incydenty łączenia tego typu wskazują, że wykryto niestandardowe zastosowania protokołów, przypominające użycie struktur ataków, takich jak Metasploit, i po tym wykryto podejrzaną aktywność przychodzącą przez zaporę sieci Palo Alto Networks. Może to być początkowe wskazanie, że osoba atakująca wykorzystała usługę w celu uzyskania dostępu do zasobów sieciowych lub że osoba atakująca uzyskała już dostęp i próbuje dalej wykorzystywać dostępne systemy/usługi w celu późniejszego przenoszenia i/lub eskalowania uprawnień. W dziennikach Palo Alto Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uznawany za podejrzany, gdy dozwolone są zagrożenia (podejrzane dane, pliki, powodzie, pakiety, skany, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy pożarów, pożary). Zapoznaj się również z dziennikiem zagrożeń Palo Alto odpowiadającym typowi zagrożenia/zawartości wymienionym w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Przejmowanie zasobów

(Nowa klasyfikacja zagrożeń)

Podejrzane wdrożenie zasobu/grupy zasobów przez wcześniej niewidocznego wywołującego po podejrzanym Microsoft Entra zalogowaniu

W tym scenariuszu są używane alerty generowane przez reguły zaplanowanej analizy.

Ten scenariusz jest obecnie w wersji zapoznawczej.

Taktyka MITRE ATT&CK: Dostęp początkowy, wpływ

MITRE ATT&techniki CK: Prawidłowe konto (T1078), przejęcie zasobów (T1496)

Źródła łącznika danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Entra ID Protection

Opis: Zdarzenia łączenia tego typu wskazują, że użytkownik wdrożył zasób Azure lub grupę zasobów — rzadkie działanie — po podejrzanym zalogowaniu się z niedawno widocznymi właściwościami na koncie Microsoft Entra. Może to być próba wdrożenia zasobów lub grup zasobów przez osobę atakującą w złośliwych celach po naruszeniach konta użytkownika zanotowanej w opisie zdarzenia fusion.

Permutacja podejrzanych Microsoft Entra alertów logowania przy użyciu podejrzanego wdrożenia zasobu/grupy zasobów za pomocą wcześniej niewidocznego alertu wywołującego to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niewidoczny obiekt wywołujący

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niewidoczny obiekt wywołujący

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niewidoczny obiekt wywołujący

  • Zdarzenie logowania z anonimowego adresu IP prowadzące do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niewidoczny obiekt wywołujący

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzące do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niewidoczny obiekt wywołujący

Następne kroki

Teraz wiesz więcej na temat zaawansowanego wieloetapowego wykrywania ataków. Możesz zapoznać się z następującym przewodnikiem Szybki start, aby dowiedzieć się, jak uzyskać wgląd w dane i potencjalne zagrożenia: Rozpoczynanie pracy z Microsoft Sentinel.

Jeśli wszystko jest gotowe do zbadania utworzonych zdarzeń, zobacz następujący samouczek: Badanie zdarzeń za pomocą Microsoft Sentinel.

  • Last updated on